Integrare l'infrastruttura NPS esistente con Azure Multi-Factor Authentication

L'estensione di Server dei criteri di rete (NPS) per Azure MFA aggiunge funzionalità MFA basate su cloud per l'infrastruttura di autenticazione usando i server esistenti. Con l'estensione di Server dei criteri di rete, è possibile aggiungere la verifica con telefonata, SMS o app telefonica al flusso di autenticazione esistente senza dover installare, configurare e gestire nuovi server.

Questa estensione è stata creata per le organizzazioni che vogliono proteggere le connessioni VPN senza distribuire Azure MFA Server. L'estensione del server dei criteri di rete funge da adattatore tra RADIUS e Azure MFA basato su cloud per fornire un secondo fattore di autenticazione per utenti federati o sincronizzati.

Quando si usa l'estensione dei criteri di rete per di Azure MFA, il flusso di autenticazione include i componenti seguenti:

  1. Il Server NAS/VPN riceve le richieste dei client VPN e le converte in richieste RADIUS per il Server dei criteri di rete.
  2. Il Server dei criteri di rete si connette ad Active Directory per eseguire l'autenticazione principale per le richieste RADIUS e, al completamento dell'operazione, passa la richiesta alle estensioni installate.
  3. L'estensione di Server dei criteri di rete attiva una richiesta di autenticazione secondaria per Azure MFA. Dopo che l'estensione riceve la risposta e se la richiesta di verifica MFA ha esito positivo, la richiesta di autenticazione viene completata, fornendo al server di Server dei criteri di rete i token di sicurezza che includono un'attestazione MFA, emessa dal servizio token di sicurezza di Azure.
  4. Azure MFA comunica con Azure Active Directory per recuperare i dettagli dell'utente ed esegue l'autenticazione secondaria grazie al metodo di verifica configurato per l'utente.

Il diagramma seguente illustra questo flusso di richiesta di autenticazione ad alto livello:

Diagramma del flusso di autenticazione

Pianificare la distribuzione

L'estensione di Server dei criteri di rete gestisce automaticamente la ridondanza, pertanto non è necessaria una configurazione speciale.

È possibile creare il tutti i Server dei criteri di rete necessari abilitati per Azure Multi-Factor Authentication. Se si installano più server, è consigliabile usare un certificato client di differenza per ciascuno. La creazione di un certificato per ogni server significa che è possibile aggiornare singolarmente ogni certificato senza doversi preoccupare dei tempi di inattività in tutti i server.

I server VPN indirizzano le richieste di autenticazione, quindi è necessario essere a conoscenza dei nuovi Server dei criteri di rete abilitati per Azure MFA.

Prerequisiti

L'estensione di Server dei criteri di rete è progettata per funzionare con l'infrastruttura esistente. Prima di iniziare, verificare che i prerequisiti seguenti siano disponibili.

Licenze

L'estensione di Server dei criteri di rete per Azure MFA è disponibile per i clienti dotati di licenze per Multi-Factor Authentication di Azure (tra cui una sottoscrizione con Azure AD Premium, EMS o MFA).

Software

Windows Server 2008 R2 SP1 o versione successiva.

Librerie

Queste librerie vengono installate automaticamente con l'estensione.

Azure Active Directory

Per gli utenti che usano l'estensione di Server dei criteri di rete è necessaria la sincronizzazione con Azure Active Directory grazie ad Azure AD Connect e l'abilitazione per MFA.

Quando si installa l'estensione, per il tenant di Azure AD sono necessarie le credenziali di amministrazione e l'ID della directory. L'ID della directory si trova nel Portale di Azure. Accedere come amministratore, selezionare l'icona di Azure Active Directory sulla sinistra, quindi selezionare Proprietà. Copiare il GUID nella casella ID directory e salvare. Questo GUID verrà usato come ID tenant quando si installa l'estensione di Server dei criteri di rete.

L'ID directory si trova nelle proprietà di Azure Active Directory

Preparare l'ambiente

Prima di installare l'estensione di Server dei criteri di rete, è necessario preparare l'ambiente per gestire il traffico di autenticazione.

Abilitare il ruolo del Server dei criteri di rete in un server appartenente a un dominio

Il Server dei criteri di rete si connette ad Azure Active Directory e autentica le richieste di MFA. Scegliere un server per questo ruolo. Si consiglia di scegliere un server che non gestisce le richieste provenienti da altri servizi, poiché l'estensione di Server dei criteri di rete genera errori per qualsiasi richiesta non RADIUS.

  1. Sul server avviare l'aggiunta guidata ruoli e funzionalità dal menu Avvio rapido di Server Manager.
  2. Come tipo di installazione scegliere Installazione basata su ruoli o basata su funzionalità.
  3. Selezionare il ruolo del server Servizi di accesso e criteri di rete. Potrebbe essere visualizzata una finestra per informare l'utente riguardo alle funzionalità necessarie per eseguire questo ruolo.
  4. Continuare la procedura guidata fino alla pagina di conferma. Selezionare Installa.

Ora che si dispone di un server designato come Server dei criteri di rete, è inoltre necessario configurarlo per gestire le richieste RADIUS in ingresso dalla soluzione VPN.

Configurare la soluzione VPN in modo che comunichi con il Server dei criteri di rete

La procedura per configurare i criteri di autenticazione RADIUS può variare a seconda della soluzione VPN in uso. Configurare i criteri in modo che la soluzione punti al Server dei criteri di rete RADIUS.

Sincronizzare gli utenti del dominio con il cloud

Questo passaggio potrebbe essere già completato nel tenant, tuttavia è consigliabile verificare che Azure AD Connect abbia sincronizzato i database di recente.

  1. Accedere al portale di Azure come amministratore.
  2. Selezionare Azure Active Directory > Azure AD Connect
  3. Verificare che lo stato della sincronizzazione sia Abilitata e che l'ultima sincronizzazione sia stata eseguita da meno di un'ora.

Se si desidera avviare un nuovo ciclo di sincronizzazione, usare istruzioni presenti in Servizio di sincronizzazione Azure AD Connect: utilità di pianificazione.

Determinare i metodi di autenticazione che è possibile usare

Sono due i fattori che determinano i metodi di autenticazione disponibili con una distribuzione dell'estensione di Server dei criteri di rete:

  1. L'algoritmo di crittografia della password usato tra il client RADIUS (VPN, server Netscaler o altri) e i Server dei criteri di rete.
    • PAP supporta tutti i metodi di autenticazione di Azure MFA nel cloud: chiamata telefonica, SMS unidirezionale, notifica dell'app per dispositivi mobili e codice di verifica dell'app per dispositivi mobili.
    • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili.
  2. I metodi di input che l'applicazione client (VPN, server Netscaler o altra) può gestire. Ad esempio, gli strumenti usati dal client VPN per consentire all'utente di digitare un codice di verifica da un testo o da un'app per dispositivi mobili.

Quando si distribuisce l'estensione di Server dei criteri di rete, usare questi fattori per valutare i metodi disponibili per gli utenti. Se il client RADIUS supporta PAP, ma nel client non esistono campi di input per un codice di verifica, la chiamata telefonica e la notifica dell'app per dispositivi mobili sono le due opzioni supportate.

È possibile disabilitare i metodi di autenticazione non supportati in Azure.

Abilitare gli utenti per l'MFA

Prima di distribuire l'estensione completa di Server dei criteri di rete, è necessario abilitare l'MFA per gli utenti su cui si desidera eseguire la verifica in due passaggi. Per testare l'estensione in modo più immediato mentre viene distribuita, è necessario almeno un account di test completamente registrato per l'MFA.

Seguire questa procedura per avviare un account di test:

  1. Accedere a https://aka.ms/mfasetup con un account di test.
  2. Seguire le richieste per configurare un metodo di verifica.
  3. Creare un criterio di accesso condizionale o modificare lo stato dell'utente per richiedere la verifica in due passaggi per l'account di test.

Gli utenti devono inoltre eseguire la procedura per la registrazione prima di potersi autenticare con l'estensione del server dei criteri di rete.

Installare l'estensione di Server dei criteri di rete

Importante

Installare l'estensione di Server dei criteri di rete in un server diverso rispetto al punto di accesso della VPN.

Scaricare e installare l'estensione di Server dei criteri di rete per Azure MFA

  1. Scaricare l'estensione di Server dei criteri di rete dall'Area download di Microsoft.
  2. Copiare il file binario nel Server dei criteri di rete da configurare.
  3. Eseguire setup.exe e seguire le istruzioni di installazione. Se si verificano errori, controllare che le due librerie indicate nella sezione sui prerequisiti siano state installate correttamente.

Eseguire lo script di PowerShell

Il programma di installazione crea uno script di PowerShell in questa posizione: C:\Program Files\Microsoft\AzureMfa\Config (dove C:\ è l'unità di installazione). Lo script di PowerShell esegue le azioni seguenti:

  • Creare un certificato autofirmato.
  • Associare la chiave pubblica del certificato all'entità servizio su Azure AD.
  • Archiviare il certificato nell'archivio certificati del computer locale.
  • Concedere l'accesso alla chiave privata del certificato all'utente di rete.
  • Riavviare il Server dei criteri di rete.

A meno che non si desideri utilizzare i propri certificati (invece dei certificati autofirmati generati dallo script di PowerShell), eseguire lo script di PowerShell per completare l'installazione. Se si installa l'estensione su più server, ciascun server dovrebbe avere il proprio certificato.

  1. Eseguire Windows PowerShell come amministratore.
  2. Cambiare le directory.

    cd "C:\Program Files\Microsoft\AzureMfa\Config"

  3. Eseguire lo script di PowerShell creato dal programma di installazione.

    .\AzureMfaNpsExtnConfigSetup.ps1

  4. Prompt di PowerShell per l'ID tenant. Usare il GUID dell'ID directory copiato dal portale di Azure nella sezione relativa ai prerequisiti.

  5. Accedere ad Azure AD come amministratore.
  6. Al termine dello script, PowerShell mostra un messaggio di conferma.

Ripetere questi passaggi per tutti i server dei criteri di rete aggiuntivi che si intende configurare per il bilanciamento del carico.

Configurare l'estensione di Server dei criteri di rete

In questa sezione sono disponibili considerazioni e suggerimenti sulla progettazione per una corretta distribuzione dell'estensione di Server dei criteri di rete.

Limitazioni di configurazione

  • L'estensione di Server dei criteri di rete per Azure MFA non include strumenti per la migrazione degli utenti e impostazioni dal Server MFA al cloud. Per questo motivo, è consigliabile usare l'estensione per le distribuzioni nuove piuttosto che per quelle esistenti. Se si usano le estensioni in una distribuzione esistente, gli utenti dovranno eseguire di nuovo la prova per popolare i dettagli della propria MFA nel cloud.
  • L'estensione di Server dei criteri di rete usa UPN dell'Active Directory locale per identificare l'utente in Azure MFA che deve eseguire l'autenticazione secondaria. L'estensione non può essere configurata per usare un identificatore come ID di accesso alternativo o campo AD personalizzato diverso dall'UPN.
  • Non tutti i protocolli di crittografia supportano tutti i metodi di verifica.
    • PAP supporta la chiamata telefonica, gli SMS unidirezionali, la notifica dell'app per dispositivi mobili e il codice di verifica app per dispositivi mobili
    • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili

Client RADIUS di controllo che richiedono MFA

Dopo aver abilitato MFA per un client RADIUS utilizzando l'estensione di Server dei criteri di rete, tutte le autenticazioni per questo client devono eseguire MFA. Se si desidera abilitare MFA solo per alcuni client RADIUS, è possibile configurare due server di Server dei criteri di rete e installare l'estensione solo su uno di questi. Configurare i client RADIUS per cui si vuole fare in modo che MFA invii richieste al server di Server dei criteri di rete configurato con l'estensione e gli altri client RADIUS al server di Server dei criteri di rete senza configurazione per l'estensione.

Impostazioni per gli utenti che non sono registrati per MFA

Se sono presenti utenti che non sono registrati per MFA, è possibile stabilire cosa succede quando questi tentano di eseguire l'autenticazione. Usare l'impostazione del registro di sistema REQUIRE_USER_MATCH nel percorso del registro di sistema HKLM\Software\Microsoft\AzureMFA per controllare il comportamento della funzionalità. Questa impostazione non ha un'unica opzione di configurazione:

Chiave Valore Default
REQUIRE_USER_MATCH VERO/FALSO Non impostato (equivalente a VERO)

Lo scopo di questa impostazione è stabilire cosa fare quando un utente non è registrato per MFA. Quando la chiave non esiste, non è impostata o è impostata su VERO e l'utente non è registrato, allora l'estensione non esegue correttamente la richiesta di verifica MFA. Quando la chiave è impostata su FALSO e l'utente non è registrato, l'autenticazione procede senza eseguire MFA.

È possibile scegliere di creare questa chiave e impostarla su FALSE, durante il caricamento degli utenti che potrebbero non essere ancora registrati per Azure MFA. Poiché l'impostazione della chiave consente agli utenti che non sono registrati all'MFA di accedere, è necessario rimuovere la chiave prima di passare all'ambiente di produzione.

Risoluzione dei problemi

Come verificare che il certificato client sia installato come previsto?

Cercare il certificato autofirmato creato dal programma di installazione nell'archivio dei certificati e verificare che la chiave privata disponga delle autorizzazioni concesse all'utente Servizio di rete. Il certificato ha come nome oggetto CN <tenantid>, OU = Estensione di Server dei criteri di rete Microsoft


Come verificare che il certificato client sia associato al tenant in Azure Active Directory?

Aprire il prompt dei comandi di PowerShell ed eseguire i comandi seguenti:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 

Questi comandi consentono di stampare tutti i certificati associando il tenant con l'istanza dell'estensione di Server dei criteri di rete nella sessione di PowerShell. Cercare il certificato esportando il certificato client come file "Codificato Base 64 X.509 (.CER)" senza la chiave privata e confrontarlo con l'elenco di PowerShell.

I timbri data/ora Valido-dal e Valido-fino al, che sono in formato leggibile, possono essere usati per filtrare i risultati errati se il comando restituisce più di un certificato.


Perché le richieste hanno esito negativo con errore di token ADAL?

Questo errore potrebbe essere dovuto a diverse ragioni. Usare la procedura seguente per la risoluzione:

  1. Riavviare il server di Server dei criteri di rete.
  2. Verificare che il certificato client sia installato come previsto.
  3. Verificare che il certificato sia associato al tenant in Azure AD.
  4. Verificare che https://login.microsoftonline.com/ sia accessibile dal server che esegue l'estensione.

Perché l'autenticazione ha esito negativo e restituisce un errore nei log HTTP che indica che l'utente non è stato trovato?

Verificare che AD Connect sia in esecuzione e che l'utente sia presente sia in Active Directory di Windows sia in Azure Active Directory.


Perché vengono visualizzati errori di connessione HTTP nei log che contengono le autenticazioni non riuscite?

Verificare che https://adnotifications.windowsazure.com sia raggiungibile dal server che esegue l'estensione di Server dei criteri di rete.

Passaggi successivi